À l’occasion d’une réponse parlementaire, le ministère de l’Intérieur a dévoilé ses vues s’agissant de la mise au clair d’informations chiffrées passant par Skype, Viber, Whatsapp, Facebook, Gmail, Twitter, Kik et autre Wechat.
La question est dans l’air du temps depuis de longs mois : comment les services du renseignement ou l’autorité judiciaire peuvent-ils prendre connaissance des données chiffrées passant par les tuyaux de ces services en ligne ? Interrogé par le sénateur Christian Cambon « sur les moyens de lutte efficace contre les messages cryptés », le ministère de l’Intérieur a dressé l’inventaire des mesures actuellement disponibles, non sans s’épargner de lever le voile sur ses intentions futures.
Des outils juridiques déjà disponibles
Ainsi, un décret du 2 mai 2007 relatif aux moyens et aux prestations de cryptologie organise « dans le cadre de la protection des intérêts de la défense nationale et de la sécurité intérieure ou extérieure de l'État, un régime de déclaration ou d'autorisation auprès de l'Agence nationale de la sécurité des systèmes d'information » pour les sociétés souhaitant mettre des moyens de cryptologie à disposition du public.
De même, l'article 434-15-2 du Code pénal punit de trois ans d'emprisonnement et de 45 000 euros d'amende « le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d'un moyen de cryptologie susceptible d'avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en œuvre, sur les réquisitions de ces autorités ».
Cependant, une telle obligation directe trouve rapidement ses limites, reconnaît le locataire de la place Beauvau. Et pour cause, « l'obligation ne pèse toutefois que sur celui qui a connaissance de la convention secrète de déchiffrement », ce qui n’est vraisemblablement pas le cas d’Apple avec l’iPhone 6 ou des autres acteurs.
Il existe aussi des moyens indirects d’obtenir les informations « non décryptables ». Cazeneuve évoque le cas « où les données de l'appareil seraient synchronisées dans le nuage (iCloud pour Apple par exemple) et que les enquêteurs disposent des identifiants du service utilisé par le mis en cause ou sollicitent le fournisseur de service (Apple par exemple) qui appréciera l'opportunité de communiquer ces données ».
Autre possibilité : les services, judiciaires ou du renseignement, peuvent également se placer en amont du chiffrement et scruter l’ensemble des données tapotées au clavier ou affichées sur un écran ou bien encore, utiliser la bonne vieille méthode de l’anonymat, pour glaner des éléments sous le couvert d’une fausse identité.
La question de l'interception des échanges chiffrés
Enfin, reste l’interception pure et simple sur les réseaux ADSL, 3G ou 4G, des flux passant entre utilisateurs Skype, Viber, Whatsapp, Facebook, Gmail, Twitter, Kik, Wechat, etc., ou des téléphones mobiles. Cette possibilité trouve cependant rapidement sa contrainte puisque les flux sont brouillés : « leur mise au clair en revanche s'avère impossible ou trop longue même avec les moyens sophistiqués utilisés par certains services spécialisés ».
Pour la contourner, l’Intérieur envisage donc deux scénarios : l’un est qualifié de « temporaire » et vise à « obtenir des fournisseurs de logiciels de communications électroniques (Skype, Viber, Whatsapp, Facebook, Gmail, Twitter, Kik, Wechat, etc.) des clés ou des algorithmes de déchiffrement afin de pouvoir mettre au clair, presque en temps réel, les flux internet interceptés, et de les sanctionner sur le plan pénal ou administratif en cas d'absence de réponse ».
Obliger Skype à procéder à des interceptions
Peu persuadé d’obtenir gain de cause, une autre solution attise davantage les attentions : elle « consisterait à modifier le Code des postes et des communications électroniques pour redéfinir la notion d'opérateur en communications électroniques en y intégrant les fournisseurs de logiciels de communications électroniques et les obliger à procéder à des interceptions, avec fourniture des contenus qui transitent par leurs serveurs, en temps réel et en clair, aux autorités requérantes ».
Nulle surprise dans ce projet. En août, main dans la main avec son homologue allemand, Bernard Cazeneuve a déjà fait connaître son vœu de voir ces acteurs soumis à des règles similaires à celle des opérateurs de télécommunication. Projet partagé par la Commission européenne... « Si un tel acte législatif était adopté, commentait alors Cazeneuve, cela nous permettrait, au niveau européen, d’imposer des obligations à des opérateurs qui se révéleraient non coopératifs, notamment pour retirer des contenus illicites ou déchiffrer des messages ».
Aujourd'hui, l’article 33-1 du CPCE oblige les opérateurs déclarés à se plier aux « prescriptions exigées par l'ordre public, la défense nationale et la sécurité publique, notamment celles qui sont nécessaires à la mise en œuvre des interceptions justifiées par les nécessités de la sécurité publique ». Mais une telle disposition laisse pour l'instant intacte les fournisseurs de services même ceux proposant des prestations en partie analogues à leurs concurrents.
Dans un échange avec nos confrères Jean-Marc Manach, l’avocat Alexandre Archambault, ex-directeur des affaires publiques de Free, cite l’article D.98-7 du CPCE, considéré comme un sérieux rappel à la réalité. De tels vœux supposent en effet que les acteurs étrangers disposent d’infrastructures sur le territoire concerné ou bien acceptent de collaborer docilement. En priant qu’un tel choix ne ruine pas leur succès auprès des utilisateurs, de plus en plus éclairés par la mode des rapports de transparence...